魏星 孫武峰 郝龍龍

摘 要：隨著公司“135”發(fā)展戰(zhàn)略及數(shù)字化轉(zhuǎn)型發(fā)展的需要，公司存量業(yè)務(wù)系統(tǒng)及增量系統(tǒng)組織機(jī)構(gòu)、用戶管理與訪問權(quán)限孤立分散在各應(yīng)用系統(tǒng)中，用戶類型也呈現(xiàn)了多樣化趨勢，造成應(yīng)用系統(tǒng)賬號(hào)密碼不統(tǒng)一、權(quán)限不統(tǒng)一和訪問入口不統(tǒng)一等現(xiàn)象。由于缺乏統(tǒng)一的用戶管理體系與身份治理機(jī)制，造成在流程效率、信息安全、風(fēng)控管理等方面存在諸多風(fēng)險(xiǎn)問題。為此，以“數(shù)據(jù)融通、信息共享”，建立內(nèi)外部用戶的數(shù)字身份安全管理體系以及應(yīng)用系統(tǒng)安全接入的統(tǒng)一規(guī)范，成為數(shù)字化轉(zhuǎn)型與提高經(jīng)營效率的必要條件。建設(shè)基于異構(gòu)環(huán)境下統(tǒng)一身份認(rèn)證平臺(tái)，加強(qiáng)內(nèi)部控制以及對內(nèi)、外部人員的持續(xù)動(dòng)態(tài)化、全生命周期“數(shù)字身份”安全管控，是當(dāng)前信息安全環(huán)境下的必然趨勢。

關(guān)鍵詞：數(shù)字身份;身份管理;訪問控制;單點(diǎn)登錄

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-1064（2020）08-0031-02

企業(yè)信息門戶在身份認(rèn)證環(huán)節(jié)初步實(shí)現(xiàn)了統(tǒng)一授權(quán)，為建立應(yīng)用級身份認(rèn)證體系，設(shè)計(jì)符合集團(tuán)公司實(shí)際的分布式服務(wù)架構(gòu)，實(shí)現(xiàn)身份認(rèn)證與權(quán)限管理集中管控。在現(xiàn)有企業(yè)信息門戶基礎(chǔ)上進(jìn)行升級改造，通過融合、協(xié)同和共享的方式提供給公司員工，真正實(shí)現(xiàn)身份認(rèn)證統(tǒng)一、業(yè)務(wù)與權(quán)限聚合功能，給企業(yè)內(nèi)外部人員建立統(tǒng)一的“數(shù)字身份”。解決用戶訪問各業(yè)務(wù)系統(tǒng)賬號(hào)和密碼不統(tǒng)一、不規(guī)范、權(quán)限亂等問題是文章研究的主要內(nèi)容。

1 總體架構(gòu)設(shè)計(jì)

1.1 系統(tǒng)組成

統(tǒng)一身份認(rèn)證平臺(tái)，核心功能模塊包括身份管理與訪問控制。

數(shù)據(jù)中心，集中的主數(shù)據(jù)包括用戶相關(guān)的基礎(chǔ)信息、組織機(jī)構(gòu)、崗位、應(yīng)用、帳號(hào)、密碼等信息。同時(shí)，根據(jù)需求擴(kuò)展LDAP企業(yè)目錄服務(wù);身份管理，提供用戶、機(jī)構(gòu)、應(yīng)用、權(quán)限等基礎(chǔ)數(shù)據(jù)的集中管控和統(tǒng)一授權(quán)[1];統(tǒng)一認(rèn)證，實(shí)現(xiàn)與各業(yè)務(wù)系統(tǒng)的集中認(rèn)證以及單點(diǎn)登錄功能;企業(yè)信息門戶，提供應(yīng)用系統(tǒng)統(tǒng)一訪問入口，實(shí)現(xiàn)單點(diǎn)登錄、待辦聚合及綜合信息服務(wù);用戶自助功能，包括應(yīng)用系統(tǒng)導(dǎo)航列表、自助密碼維護(hù)、應(yīng)用權(quán)限申請流程等功能;多因素認(rèn)證，支持用戶名密碼認(rèn)證，同時(shí)提供短信驗(yàn)證碼登錄，以及人臉識(shí)別、指紋和多種認(rèn)證手段的擴(kuò)展;API接口服務(wù)，提供各類數(shù)據(jù)的管控接口服務(wù)，支持多種形式的標(biāo)準(zhǔn)協(xié)議，其接口發(fā)布在現(xiàn)有公司企業(yè)服務(wù)總線上;安全標(biāo)準(zhǔn)和技術(shù)規(guī)范：包括組織機(jī)構(gòu)編碼建設(shè)和擴(kuò)展標(biāo)準(zhǔn)、《信息系統(tǒng)賬號(hào)及權(quán)限管理規(guī)范》和《應(yīng)用系統(tǒng)身份認(rèn)證與權(quán)限管理服務(wù)架構(gòu)》等應(yīng)用系統(tǒng)集成規(guī)范等。

1.2 總體架構(gòu)

結(jié)合公司現(xiàn)有各業(yè)務(wù)系統(tǒng)以及業(yè)務(wù)管理模式，統(tǒng)一身份認(rèn)證平臺(tái)的邏輯架構(gòu)包括如下。

身份管理平臺(tái)：由協(xié)作共享平臺(tái)提供用戶和機(jī)構(gòu)基礎(chǔ)數(shù)據(jù)，身份管理中數(shù)據(jù)中心存儲(chǔ)用戶數(shù)據(jù)，同時(shí)通過多種方式實(shí)現(xiàn)與各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)對接，包括數(shù)據(jù)下推以LDAP目錄方式;用戶通過企業(yè)信息門戶中的自助服務(wù)流程，申請應(yīng)用系統(tǒng)帳號(hào)及權(quán)限，管理員審批后平臺(tái)自動(dòng)將帳號(hào)及權(quán)限分配至各業(yè)務(wù)系統(tǒng);提供多種認(rèn)證手段的擴(kuò)展，包括靜態(tài)口令認(rèn)證、短信驗(yàn)證碼認(rèn)證等方式[2]。

2 系統(tǒng)功能

統(tǒng)一身份認(rèn)證平臺(tái)主要包括身份管理、訪問控制、權(quán)限管理及安全審計(jì)等[3]。其目的是解決企業(yè)內(nèi)外部人員“數(shù)字身份”的安全管理與統(tǒng)一，實(shí)現(xiàn)用戶全生命周期的集中管理，并通過賬號(hào)、應(yīng)用、流量及偏好分析，為數(shù)字身份安全賦能。

數(shù)據(jù)中心為身份管理平臺(tái)、統(tǒng)一認(rèn)證平臺(tái)、企業(yè)門戶等提供用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、認(rèn)證緩存數(shù)據(jù)和目錄服務(wù)數(shù)據(jù)存儲(chǔ);身份管理服務(wù)提供主數(shù)據(jù)管理、應(yīng)用集成管理、策略管理、權(quán)限管理、接口管理、審計(jì)管理功能;統(tǒng)一認(rèn)證服務(wù)提供身份認(rèn)證管理、認(rèn)證方式管理、認(rèn)證策略、單點(diǎn)登錄、認(rèn)證接口管理;企業(yè)信息門戶提供應(yīng)用導(dǎo)航列表、待辦聚合、企業(yè)新聞、文件下載、用戶自服務(wù)、應(yīng)用代填功能;登錄方式包含：用戶名+靜態(tài)口令、用戶名+短信驗(yàn)證碼方式;企業(yè)瀏覽器提供管控后臺(tái)、應(yīng)用兼容性管理、插件集成功能;平臺(tái)對外接口提供統(tǒng)一認(rèn)證和單點(diǎn)登錄接口、數(shù)據(jù)同步接口、待辦集成接口;身份管理平臺(tái)通過webservice連接器、ldap方式為下游同步數(shù)據(jù);webservice方式通過企業(yè)總線;認(rèn)證服務(wù)使用OAuth2.0協(xié)議，并支持CAS協(xié)議[4]。

2.1 統(tǒng)一身份管理

用戶全生命周期管理、用戶審批、賬號(hào)識(shí)別、賬號(hào)分類管理、賬號(hào)同步、密碼策略;進(jìn)一步實(shí)現(xiàn)對企業(yè)內(nèi)所有人員的應(yīng)用賬號(hào)（密碼）的統(tǒng)一管理;靈活自定義密碼規(guī)則;安全保護(hù)，支持國密加密存儲(chǔ)和分級權(quán)限保護(hù);用戶自助服務(wù)，通過平臺(tái)和手機(jī)短信實(shí)現(xiàn)用戶登錄、自主賬號(hào)申請、密碼重置、信息更新與完善;實(shí)現(xiàn)用戶自助式的信息維護(hù)（如密碼重置）及權(quán)限管理模式，減輕管理員負(fù)擔(dān)。

2.2 統(tǒng)一認(rèn)證與訪問控制

提供統(tǒng)一認(rèn)證管理、訪問控制管理、應(yīng)用單點(diǎn)登錄管理、集中訪問入口控制、應(yīng)用訪問授權(quán)、多因素認(rèn)證、訪問策略控制和多認(rèn)證協(xié)議;將所有業(yè)務(wù)系統(tǒng)的認(rèn)證入口統(tǒng)一，實(shí)現(xiàn)安全訪問控制[5]。

提供多種安全認(rèn)證方式和功能，滿足應(yīng)用安全訪問需求，適應(yīng)不同業(yè)務(wù)場景。

2.3 合規(guī)安全審計(jì)

對用戶管理和訪問控制中的關(guān)鍵流程、操作進(jìn)行審閱;合規(guī)審計(jì)覆蓋到用戶管理與訪問控制的每個(gè)環(huán)節(jié);記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用、授權(quán)操作等;相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等[6];建立綜合展示視圖，進(jìn)行集中展現(xiàn)和展示，根據(jù)記錄數(shù)據(jù)進(jìn)行分析，可生成統(tǒng)計(jì)報(bào)表，并對特定事件提供指定方式的報(bào)警;單獨(dú)設(shè)置安全管理員角色，使其與管理權(quán)限完全獨(dú)立;日志管理：用來記錄用戶認(rèn)證日志、訪問日志、操作日志。

查詢類報(bào)表：提供孤兒賬號(hào)、系統(tǒng)日志、用戶狀態(tài)、用戶賬號(hào)、用戶資源、資源賬號(hào)的集中查詢功能，并提供導(dǎo)出功能。

2.4 與業(yè)務(wù)系統(tǒng)集成

統(tǒng)一身份認(rèn)證平臺(tái)與相關(guān)系統(tǒng)對接集成實(shí)現(xiàn)用戶、組織架構(gòu)數(shù)據(jù)同步、單點(diǎn)登錄，并與主數(shù)據(jù)（公司組織架構(gòu)）平臺(tái)賬號(hào)關(guān)聯(lián)，實(shí)現(xiàn)管理員僅維護(hù)一套主數(shù)據(jù)賬號(hào)、組織機(jī)構(gòu)管理工作。

2.5 與企業(yè)門戶、數(shù)據(jù)總線及主數(shù)據(jù)管理平臺(tái)集成

企業(yè)信息門戶集成統(tǒng)一認(rèn)證平臺(tái)，采用統(tǒng)一的登錄入口，使用集團(tuán)公司統(tǒng)一的用戶名和密碼登錄。

統(tǒng)一身份平臺(tái)與其他系統(tǒng)的交互通過數(shù)據(jù)總線實(shí)現(xiàn)。

統(tǒng)一身份認(rèn)證平臺(tái)支持主數(shù)據(jù)管理平臺(tái)建設(shè)，實(shí)現(xiàn)公司身份數(shù)據(jù)的標(biāo)準(zhǔn)化和唯一化。

與企業(yè)門戶、數(shù)據(jù)總線及主數(shù)據(jù)管理平臺(tái)的集成符合集團(tuán)公司《面向服務(wù)的應(yīng)用系統(tǒng)集成規(guī)范》、《主數(shù)據(jù)管理平臺(tái)系統(tǒng)接口規(guī)范》。

3 部署架構(gòu)

部署架構(gòu)圖，如圖1所示。

身份管理服務(wù)（含應(yīng)用導(dǎo)航、業(yè)務(wù)控制臺(tái)、自服務(wù)平臺(tái)）通過兩臺(tái)服務(wù)器實(shí)現(xiàn)集群，通過A10設(shè)備實(shí)現(xiàn)負(fù)載均衡;認(rèn)證服務(wù)（含認(rèn)證中心、認(rèn)證拓?fù)洌┩ㄟ^兩臺(tái)服務(wù)器實(shí)現(xiàn)集群，通過A10設(shè)備實(shí)現(xiàn)負(fù)載均衡;企業(yè)信息門戶部署在兩臺(tái)服務(wù)器，兩個(gè)節(jié)點(diǎn)使用tomcat集群，通過A10設(shè)備實(shí)現(xiàn)負(fù)載均衡;企業(yè)瀏覽器部署在1臺(tái)服務(wù)器，包括管控后臺(tái)和數(shù)據(jù)庫;Mysql數(shù)據(jù)庫通過兩臺(tái)服務(wù)器實(shí)現(xiàn)主從關(guān)聯(lián);redis通過兩臺(tái)服務(wù)器實(shí)現(xiàn)3主3從的集群模式;ldap通過兩臺(tái)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)復(fù)制功能。

4 結(jié)語

文章提出基于異構(gòu)環(huán)境下統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)，其關(guān)鍵點(diǎn)和難點(diǎn)均在于第三方應(yīng)用系統(tǒng)的接入，其異構(gòu)環(huán)境為基于配電網(wǎng)企業(yè)內(nèi)外網(wǎng)及公司大樓局域網(wǎng)等復(fù)雜網(wǎng)絡(luò)環(huán)境系統(tǒng)下，實(shí)現(xiàn)身份管理與認(rèn)證數(shù)據(jù)的實(shí)時(shí)同步。目的是實(shí)現(xiàn)公司內(nèi)外部員工“數(shù)字身份”的全生命周期管理。同時(shí)，用戶通過企業(yè)信息門戶，輸入一次用戶名、密碼即可訪問不同業(yè)務(wù)系統(tǒng)，并通過身份大數(shù)據(jù)分析，指導(dǎo)公司開展應(yīng)用系統(tǒng)實(shí)用化工作，進(jìn)一步提高用戶體驗(yàn)，增強(qiáng)公司運(yùn)營效率。

參考文獻(xiàn)

[1] GB/T 31072-2014，科技平臺(tái) 統(tǒng)一身份認(rèn)證[S].北京：王志強(qiáng)，楊青海等，2015.

[2] GB/T 32419.6-2017，信息技術(shù) SOA技術(shù)實(shí)現(xiàn)規(guī)范 第6部分：身份管理服務(wù)[S].北京：梅宏，趙斌等，2017.

[3] 牟平.國家電網(wǎng)公司統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].天津：天津大學(xué)，2014.

[4] 沈斌，史鳴杰.統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)[J].南京師范大學(xué)學(xué)報(bào)（工程技術(shù)版），2004（02）：74-76.

[5] 張立斌，高仲春，張晶.云計(jì)算環(huán)境下統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].工業(yè)控制計(jì)算機(jī)，2013，26（7）：91-92.

[6] 崔晶.統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].天津職業(yè)院校聯(lián)合學(xué)報(bào)，2014（04）：121-124.